Fuite biométrique massive expose les dangers de l'identité centralisée : Le co-fondateur de Human.tech, Shady El Da...

Une récente fuite massive de données biométriques et de dossiers d'identité nationale au Pakistan a mis en lumière un problème que de nombreux technologues ont averti depuis des années : lorsque l'identité devient centralisée, une seule violation devient un échec systémique. Des millions de personnes, de celles qui dépendent des identifiants pour les opérations bancaires et les prestations à celles qui sont à risque accru de harcèlement ou de surveillance, font soudain face à une cascade de dommages qui commencent par la fraude et peuvent se terminer par une érosion de la confiance à long terme. Dans ce climat, la question n'est plus de savoir si une violation se produira, mais comment les sociétés peuvent concevoir des systèmes d'identité qui survivent lorsque cela se produit.

Nous avons parlé avec Shady El Damaty, co-fondateur et PDG de human.tech, des conséquences humaines et techniques de ces fuites et à quoi ressemblent les alternatives pratiques. El Damaty présente le problème de manière franche : de nombreuses personnes dans le monde manquent d'une identité fiable ou sont piégées dans des systèmes où les gouvernements et les entreprises détiennent d'énormes quantités de données sensibles qui peuvent, et fuient.

« Les biométries sont sacrées », dit-il, arguant que les empreintes digitales et les scans faciaux doivent être conservés aussi près de la personne que possible, jamais accumulés dans des pots de miel centralisés qui attirent les attaquants. Tout au long de la conversation, il expose à la fois des étapes de triage immédiates et une feuille de route plus longue ancrée dans la cryptographie, la décentralisation et la gouvernance multi-parties prenantes.

Q1. Veuillez décrire brièvement votre rôle chez human.tech et le problème central que le projet essaie de résoudre.

Je suis le co-fondateur et PDG de human.tech par Holonym, et le problème central que nous résolvons est assez simple, un grand nombre de personnes dans le monde n'ont pas du tout d'identité ou les ont perdues parce qu'elles sont déplacées ou apatrides, et sans un moyen de prouver en toute sécurité qui elles sont, elles ne peuvent pas accéder aux services les plus basiques ou à l'aide humanitaire.

En même temps, le reste d'entre nous est coincé dans des systèmes où l'identité est contrôlée par des gouvernements ou des entreprises qui divulguent des données et les utilisent pour suivre les gens, et ce modèle est en train de se décomposer rapidement. Avec les deepfakes et les bots inondant Internet, il devient de plus en plus difficile de dire qui est réel, donc ce que nous construisons est un moyen de préserver la vie privée pour que les humains prouvent leur identité en ligne sans céder le contrôle de leur identité à des institutions centralisées qui n'ont pas leurs meilleurs intérêts à cœur.

Q2. La récente violation au Pakistan a exposé des millions de dossiers biométriques et d'identité nationale. Selon vous, quels sont les plus grands risques immédiats et à long terme d'une fuite de cette ampleur ?

Le risque immédiat est très humain ; lorsque vos empreintes digitales et votre carte d'identité nationale circulent sur le dark web, vous devenez soudainement plus vulnérable aux escroqueries ciblées, au harcèlement, à la fraude financière, aux échanges de cartes SIM et, dans certains cas, même à des dommages physiques. Si des acteurs malveillants relient ces données à votre lieu de résidence ou à votre famille, et ce n'est pas une possibilité abstraite, c'est la réalité vécue par des millions de personnes en ce moment.

Le risque à long terme est que ces fuites ne disparaissent pas simplement, elles se cumulent entre les fuites gouvernementales et celles des entreprises, et toutes ces données finissent par être intégrées dans des modèles d'apprentissage automatique qui entraînent les systèmes qui décideront si vous pouvez obtenir un prêt, le coût de votre prime d'assurance maladie, si vous êtes une vraie personne ou un bot..

À mesure que les deepfakes deviennent indiscernables de la réalité, nous risquons d'entrer dans un avenir où les gens ne peuvent plus prouver leur propre humanité, ce qui semble dystopique, mais nous observons déjà les premiers signes, et il ne s'agit pas seulement de fraude à grande échelle, il s'agit d'éroder le tissu de base de la confiance sur lequel la société repose.

Q3. Les données biométriques sont souvent considérées comme immuables : « vous ne pouvez pas changer une empreinte digitale. » D'un point de vue d'ingénierie du modèle de menace, comment les concepteurs devraient-ils traiter les données biométriques différemment pour réduire le risque à vie pour les utilisateurs ?

Les biométries sont sacrées. Elles sont des approximations de votre manifestation physique et peuvent être mal utilisées si elles tombent entre de mauvaises mains. Elles ne peuvent pas être tournées et peuvent être utilisées pour créer des identifiants permanents car vous ne pouvez pas les changer comme vous le feriez avec un mot de passe. La façon de les protéger est de garder les biométries aussi proches de l'utilisateur que possible. Elles ne devraient jamais être stockées en texte clair sur un serveur tiers.

Ils ne devraient être conservés que dans des endroits entièrement sous le contrôle de l'utilisateur. Malheureusement, la pratique standard actuelle consiste à stocker les données biométriques dans des pots de miel centralisés de données d'empreintes digitales ou de visages qui vont inévitablement fuir. Cela ne doit pas être le cas aujourd'hui. Des avancées comme les preuves à divulgation nulle de connaissance et le calcul multipartite vous permettent de déverrouiller un credential sans que la biométrie soit stockée ou transmise. L'accent doit être mis sur la conception pour l'inévitabilité de la violation afin que même si l'infrastructure est compromise, la biométrie de l'individu ne puisse pas être réutilisée contre lui.

Q4. Quelles défaillances architecturales ou opérationnelles rendent les systèmes d'identité nationaux centralisés particulièrement vulnérables aux violations catastrophiques ?

La centralisation concentre à la fois le miel et l'ours, créant un point unique que les attaquants peuvent cibler et une seule institution qui peut décider qui est dedans et qui est dehors. La combinaison est explosive car elle signifie que les violations massives et les exclusions massives ne sont toujours qu'une décision ou une vulnérabilité éloignées.

Q5. Comment les preuves à connaissance nulle ou d'autres techniques cryptographiques modernes peuvent-elles réduire les dommages lorsque les systèmes d'identité sont compromis, expliquées simplement pour un public général ?

Les preuves à divulgation nulle de connaissance vous permettent de prouver quelque chose à votre sujet sans révéler les données sous-jacentes, donc, par exemple, vous pourriez prouver que vous avez plus de 18 ans sans donner votre date de naissance. Nous utilisons ce type de cryptographie dans le Passeport Humain afin que vous puissiez prouver que vous êtes un humain unique sans remettre votre scan facial ou votre pièce d'identité nationale, et la magie de cela est que si une base de données est compromise, il n'y a pas de pot de miel de biométrie à voler, car rien de sensible n'est stocké en premier lieu.

Q6. Pour les infrastructures financières et l'intégration des paiements, quelles défenses les banques et les fournisseurs de paiements devraient-ils prioriser pour arrêter les fraudeurs qui intensifient les attaques plus rapidement que la vérification humaine ?

Ils doivent arrêter de faire semblant que l'ajout de plus de surveillance les sauvera. Ce qui les sauvera, c'est l'adoption de méthodes de vérification axées sur la confidentialité qui établissent toujours l'unicité et l'humanité, et cela signifie adopter des techniques cryptographiques qui évoluent aussi vite que les fraudeurs. Les humains ne pourront jamais cliquer sur "approuver" aussi vite qu'un bot peut créer dix mille fausses identités, mais les protocoles le peuvent.

Q7. Un modèle d'identité décentralisé est-il pratique à l'échelle nationale, ou voyez-vous les approches hybrides comme le seul chemin réaliste ? À quoi ressemblerait la gouvernance de ces hybrides ?

L'identité décentralisée est absolument possible à l'échelle nationale et même mondiale, mais cela ne signifie pas que les gouvernements et les banques n'ont pas de rôle ; cela signifie que leur rôle change. Ils devraient être des participants, des validateurs et des gardiens de normes, et non des conservateurs détenant les données personnelles de chacun dans un seul coffre.

Un modèle hybride pourrait ressembler à des gouvernements aidant à émettre ou à soutenir des identités tandis que les individus restent les contrôleurs de leur identité, et la gouvernance doit être multipartite avec la société civile et les techniciens autour de la table, de sorte qu'aucune entité unique ne puisse détourner le système à des fins de profit ou de contrôle.

Q8. human.tech construit une récupération et une gestion des clés axées sur la confidentialité. Pouvez-vous résumer, à un niveau élevé, comment vous permettez une récupération assistée par biométrie sans stocker de modèles biométriques réutilisables de manière centralisée ?

Oui, nous utilisons des calculs multipartites et d'autres techniques cryptographiques afin que vos données biométriques n'existent jamais sous forme de modèle réutilisable stocké sur un serveur, mais qu'elles soient utilisées comme un facteur local dans un processus de récupération distribué, de sorte que le système puisse vous aider à accéder à votre compte sans que quiconque ne détienne une copie de votre empreinte digitale ou de votre visage qui pourrait ensuite être perdue, volée ou abusée.

Q9. Si vous conseilliez un gouvernement en réponse à cette violation au Pakistan, quelles sont les trois principales actions techniques et politiques immédiates que vous recommanderiez dans les 72 premières heures ?

Tout d'abord, arrêtez l'hémorragie, identifiez le vecteur d'attaque et sécurisez le système afin que la violation ne continue pas de s'étendre. Deuxièmement, informez immédiatement les citoyens et donnez-leur les outils pour se protéger, car trop souvent les gouvernements cachent les violations et les gens ne le savent que trop tard. Troisièmement, déchargez tous les journaux pour une analyse forensic, faites tourner toutes les clés, réalisez des audits et des analyses de sécurité, et effectuez des tests de pénétration pour identifier les lacunes.

Après que la poussière se soit déposée, commencez à mettre en œuvre une infrastructure d'identité préservant la vie privée maintenant car la technologie existe, les preuves à divulgation nulle existent, les identifiants décentralisés existent, et la seule raison pour laquelle ils ne sont pas en place est que les institutions avancent trop lentement ou, franchement, ne se soucient pas assez de protéger leur peuple.

Q10. Que devraient faire les personnes ordinaires en ce moment si elles soupçonnent que leur identité nationale ou leurs données biométriques ont été exposées ? Donnez une courte liste de contrôle priorisée.

Ils devraient immédiatement mettre à jour et renforcer tous les comptes numériques qui se connectent à cette identité, activer l'authentification multi-facteurs chaque fois que cela est possible, surveiller les activités inhabituelles telles que les tentatives de permutation de SIM, et être très prudents face aux appels ou aux courriels d'hameçonnage qui utilisent des éléments de données divulguées pour sembler convaincants.

Utilisez des sites comme "haveibeenpwnd.com" ou similaires pour scanner le Dark Web à la recherche de vos données personnelles. D'autres services sont capables d'effacer vos informations moyennant des frais. Il peut également être utile de se connecter à des ONG ou des groupes civils qui peuvent aider avec l'hygiène de la sécurité numérique, car la défense collective est toujours plus forte que d'essayer de le comprendre seul.

Q11. Quels types d'attaques en aval (SIM swap, prise de contrôle de compte, surveillance ciblée, deepfakes, etc.) les ONG, les banques et les opérateurs de télécommunications devraient-ils traiter comme étant la plus haute priorité après une fuite, et comment devraient-ils coordonner?

Les échanges de cartes SIM et les prises de contrôle de comptes sont toujours la première vague, donc les opérateurs télécoms et les banques doivent travailler main dans la main pour surveiller cela et répondre rapidement, mais le risque plus profond à long terme est la surveillance ciblée et l'utilisation de fuites biométriques pour créer des deepfakes qui imitent des personnes. En raison de cela, la coordination doit inclure non seulement les institutions financières mais aussi les plateformes médiatiques, les gouvernements et les ONG qui peuvent fournir des alertes rapides et une éducation à ceux qui sont les plus à risque.

Q12. En regardant 5 à 10 ans en avant : à quoi ressemble un système d'identité mondial résilient et centré sur l'humain, sur le plan technique et en matière de gouvernance, et quels sont les éléments les plus importants qui manquent encore ?

Un système résilient ressemble à celui où l'identité n'est pas une arme qui peut être retournée contre vous ou vous être retirée, mais un outil qui déverrouille votre humanité en ligne. Techniquement, cela ressemble à des identifiants décentralisés, des preuves à divulgation nulle de connaissance, et des systèmes de récupération qui ne nécessitent pas de remettre vos biométries à un serveur central.

En termes de gouvernance, cela ressemble à une gestion partagée avec les humains au centre, et non des entreprises ou des États, et le manque aujourd'hui est vraiment la volonté politique. La technologie est là, le covenant des technologies humanistes établit les principes, mais nous avons besoin de leaders prêts à les adopter au lieu de s'en tenir à des infrastructures de surveillance centralisées qui continueront à nous faire défaut.

Résumé de l'entretien

La leçon du point de vue d'El Damaty est double. Premièrement, le travail pratique immédiat après toute grande fuite doit être agressif et transparent : arrêter l'hémorragie, sécuriser le vecteur, notifier les personnes concernées, faire tourner les clés, remettre les journaux à des experts judiciaires indépendants et pousser à une containment rapide. Deuxièmement, la résilience à long terme nécessite de repenser qui contrôle l'identité. Des techniques comme les preuves à zéro connaissance et le calcul multipartite peuvent permettre aux gens de prouver des faits les concernant, qu'ils sont uniques, d'un certain âge, ou éligibles à un service, sans remettre des biométries brutes ou des bases de données centralisées qui peuvent être exploitées et réutilisées.

Pour les individus, le conseil d'El Damaty est direct et urgent : sécurisez vos comptes, activez l'authentification multi-facteurs, surveillez les tentatives de portage de SIM et soyez sceptiques face au phishing qui exploite des données divulguées. Pour les institutions, la leçon est structurelle : la vérification préservant la vie privée se développe plus rapidement que les examinateurs humains et doit faire partie de la stratégie de défense, en particulier pour les banques, les entreprises de télécommunications et les organisations d'aide qui subissent les pires effets en aval.

En fin de compte, la technologie pour construire des systèmes d'identité plus sûrs et centrés sur l'humain existe déjà, les identifiants décentralisés, les preuves à connaissance nulle et les flux de récupération axés sur la confidentialité sont réels et déployables. "La technologie est là," dit El Damaty; ce qui manque, avertit-il, c'est la volonté politique et un modèle de gouvernance qui place les personnes, et non des coffres-forts de données uniques, au centre. Tant que cela ne changera pas, chaque nouvelle violation sera un rappel coûteux que l'identité centralisée reste un point de défaillance unique pour la confiance elle-même.